34.-(1) Σε περίπτωση που η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
(2) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση περιγράφει με σαφήνεια και απλότητα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τα μέτρα που προβλέπονται στις παραγράφους (β), (γ) και (δ) του εδαφίου (4) του άρθρου 33.
(3) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους ακόλουθους όρους:
(α) Ο υπεύθυνος επεξεργασίας θέσπισε κατάλληλα τεχνολογικά και οργανωτικά μέτρα προστασίας τα οποία εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση, ειδικότερα δε τα μέτρα εκείνα που καθιστούν αδύνατη την κατανόηση των δεδομένων προσωπικού χαρακτήρα από όσους δεν διαθέτουν εγκεκριμένη πρόσβαση σε αυτά, όπως τα κρυπτογραφημένα δεδομένα·
(β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο αναφερόμενος στο εδάφιο (1) μεγάλος κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων· ή
(γ) η ενημέρωση του υποκειμένου είναι πρακτικά αδύνατη ή προϋποτίθενται δυσανάλογες προσπάθειες:
(4) Σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν έχει γνωστοποιήσει ήδη την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ο Επίτροπος, έχοντας εξετάσει την πιθανότητα να συνεπάγεται η παραβίαση των δεδομένων προσωπικού χαρακτήρα μεγάλο κίνδυνο, δύναται να του ζητήσει να το πράξει ή να αποφασίσει ότι πληρούται οποιοσδήποτε από τους αναφερόμενους στο εδάφιο (3) όρους.
(5) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση δυνατό να καθυστερήσει, να περιοριστεί ή να παραλειφθεί υπό τους όρους και για τους λόγους που αναφέρονται στο εδάφιο (3) του άρθρου 15.